Más de 170 países sufren el ciber ataque masivo con variantes del virus WannaCry

Swiss Re analiza en su informe Sigma la gestión de un riesgo cada vez mas complejo

Los riesgos cibernéticos son uno de los más importantes para empresas y particulares. Más de 200.000 ordenadores han sido infectados en un ciber ataque masivo que ha afectado a cerca de 180 países de todo el mundo que comenzó el viernes y ha continuado propagándose durante el fin de semana y el lunes.

China ha sido uno de los países más afectados por esta nueva ola del ataque, con cerca de 30.000 instituciones afectadas, según los últimos balances. En España se han detectado cerca de 1.200 ordenadores infectados, según datos del Instituto Nacional de Ciber Seguridad de España (Incibe). Una de las primeras compañías en admitir el ataque fue Telefónica.

Entre las medidas de protección que recomiendan los expertos está la actualización de los equipos para tener siempre al día los parches de seguridad desarrollados por fabricantes de equipos y Microsoft. De momento, el ataque sólo afecta al sistema operativo desarrollado por la compañía de Bill Gates.

Además, es necesario extremar la precaución al abrir archivos adjuntos o abrir enlaces de remitentes desconocidos, procedentes de redes sociales o de correos electrónicos poco fiables.

Un riesgo que crece exponencialmente

El riesgo cibernético es un problema que preocupa cada vez más a las empresas, ya que las consecuencias de un ataque de este tipo, como el que sufren cerca de 180 países en todo el mundo, puede ir más allá de la pérdida o corrupción de datos.

El informe Sigma de Swiss Re “Cibernética: cómo enfrentarse a un riesgo complejo”, afirma que es necesario que las empresas hagan mucho más para integrar la ciberseguridad en sus programas de gestión de riesgos.

Hay en marcha iniciativas para estimular la resiliencia cibernética. Se está desarrollando un mercado especializado en ciberseguro, pero hasta ahora el alcance de la cobertura es modesto respecto a la exposición potencial, advierte la reaseguradora.

La innovación de productos y procesos, junto con la analítica avanzada, ayudarán a impulsar soluciones de ciberseguro mejoradas y ampliarán tanto los límites de asegurabilidad como el alcance de cobertura. Finalmente, es posible que algunos riesgos cibernéticos, especialmente los relacionados con eventos de perdidas catastróficas extremas, no sean asegurables.

Las empresas ahora deben tener en cuenta los posibles daños a su reputación, daños materiales y propiedad intelectual, y también la interrupción de actividades comerciales. El creciente alcance y magnitud de los costes potenciales asociados con ciber incidentes refleja la constante evolución del panorama de riesgo cibernético, que a su vez está siendo conformado por tres dinámicas principales.

Por un lado, la creciente velocidad y alcance de la transformación digital; en segundo lugar las fuentes cada vez más amplias de vulnerabilidad como consecuencia de la hiperconectividad, con la rápida propagación de, por ejemplo, dispositivos con conexión a Internet y computación en la nube. Y en tercer lugar, la cada vez mayor sofisticación de hackers que están muy interesados en los posibles beneficios económicos como consecuencia de ciber ataques exitosos.

Pese a la mayor concienciación respecto a los peligros, las compañías están por lo general mal preparadas para hacer frente a riesgos cibernéticos. Han sido relativamente pocas las que han integrado la ciber seguridad en su sistema de gestión de riesgos. La regulación podría ser un catalizador para el cambio, ya que en muchas jurisdicciones se está desarrollando legislación que obliga a las compañías a introducir mayores medidas de protección de datos.

Como resultado, “las compañías, tanto grandes como pequeñas, deben invertir más en arquitectura de ciberseguridad para desarrollar sólidas capacidades de gestión de riesgos antes y después de pérdidas”, afirma Kurt Karl, economista jefe de Swiss Re.

Gestionar riesgos complejos

Muchas compañías desean transferir riesgos cibernéticos a terceros en mejores condiciones para absorberlos. “Se está desarrollando un mercado específico de ciberseguro y cada vez hay más aseguradoras que desean ampliar el negocio en este ramo especializado”, continúa Kurt Karl.

El seguro cibernético específico ofrece normalmente protección básica contra violaciones de seguridad de redes y datos y pérdidas asociadas, con límites de capacidad en el mercado que actualmente oscilan entre 5 y 100 millones de dólares. Sin embargo, algunos riesgos cibernéticos importantes aún están sin asegurar en gran parte y la escala de cobertura existente es modesta respecto a las exposiciones globales de las compañías explica Swiss Re en su informe.

Una limitación importante para el desarrollo de soluciones de seguro guarda relación con la naturaleza intrínseca de los riesgos cibernéticos. Son complejos y difíciles de cuantificar, especialmente dada la vertiginosa evolución del entorno tecnológico y la carencia de datos de siniestros cibernéticos históricos que servirían para extrapolar información sobre posibles futuras pérdidas.

Las aseguradoras y los proveedores de analítica de riesgos están experimentando con diferentes enfoques de modelización del riesgo cibernético, incluyendo análisis determinísticos de escenarios y modelos probabilísticos, en un intento de calcular las posibles pérdidas por eventos cibernéticos.

La experiencia de otros peligros, como catástrofes naturales, ofrece la esperanza de que los modelos continúen mejorando a medida que evolucione la comprensión de los factores de riesgo fundamentales y se disponga de más datos sobre pérdidas cibernéticas.

Mientras tanto, la innovación de productos y procesos en el seguro y otros mecanismos de transferencia de riesgos desempeñarán un papel importante a la hora de mejorar las capacidades de gestión de riesgos cibernéticos.

Un factor crucial que influirá en el ritmo de la innovación será la obtención y el análisis de la información relevante sobre amenazas y datos que es necesaria para suscribir riesgos cibernéticos con precisión.

La industria trabaja constantemente para mejorar la recopilación y divulgación de información. Por ejemplo, varios proveedores de analítica de riesgos han creado programas de datos que proporcionan a las empresas un método estandarizado para identificar, cuantificar e informar sobre exposición cibernética a las aseguradoras.

De modo similar, el CRO Forum está promoviendo un lenguaje y marco común para las empresas con el fin de obtener información relevante sobre incidentes cibernéticos y vulnerabilidades.

Las aseguradoras, por su parte, tratan de desarrollar productos de seguro menos complejos y más flexibles. Esto incluye coberturas que puedan adaptarse a pequeñas y medianas empresas, que hasta ahora han estado desatendidas por el seguro y frecuentemente están peor situadas para hacer frente a riesgos cibernéticos que las empresas más grandes. Además, algunas re/aseguradoras buscan colaborar con empresas de ciberseguridad y proveedores de analíticas de datos para llenar sus lagunas de conocimiento y ampliar/proporcionar servicios adicionales a sus clientes.

En líneas generales, la analítica avanzada puede aumentar las herramientas tradicionales de suscripción de las re/aseguradoras, y ayudarles a responder rápidamente a factores de riesgo subyacentes en rápida evolución.

Otra forma de incrementar la capacidad de absorción de pérdidas global para este riesgo es el desarrollo de vehículos de inversión que permitan a los inversores del mercado de capitales asumir algunas de las exposiciones. Actualmente hay en marcha algunas iniciativas para desarrollar valores vinculados al seguro (ILS, por sus siglas en inglés) que cubran riesgo de tipo operativo como el cibernético. El mercado ILS de riesgos cibernéticos está todavía en sus inicios pero podría crecer.

Apoyo necesario de los gobiernos

Para ampliar los límites de la asegurabilidad, las empresas deberán trabajar con sus aseguradoras para crear un mercado que sea sostenible. Los gobiernos también tienen una función importante que desempeñar a la hora de promover resiliencia cibernética, incluyendo medidas para mejorar la obtención y difusión de información cibernética y la elaboración de leyes y regulaciones sobre cómo se usa y protege el ciberespacio. Al remodelar incentivos y aumentar la concienciación sobre las ciberamenazas, los gobiernos podrían conducir al sector privado hacia mejores soluciones impulsadas por el mercado.

La compañía advierte de que el volumen potencial de pérdidas ocasionadas por algunos ataques cibernéticos “podría ser demasiado grande para ser absorbido por el sector asegurador”, especialmente en el caso de eventos de pérdidas máximas, como un ataque con graves consecuencias sobre infraestructuras o redes críticas que podría ocasionar significativas pérdidas acumuladas.

Tagged , , , , , , , ,

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *